Conferencia RSA: McAfee descubre que Lazarus Group utilizaba el spearphishing para atacar a sus víctimas

11 marzo, 2019
24 Compartido 1,524 Visualizaciones

McAfee descubre que Lazarus Group utilizaba el spearphishing para atacar a sus víctimas. ¿Cómo pueden protegerse las empresas?

McAfee anunció  durante la conferencia RSA, que tuvo lugar en San Francisco (California), el descubrimiento de conocimientos técnicos inusuales y pruebas que vinculan al actor del estado-nación de Corea del Norte, Lazarus Group, con la campaña de ciberespionaje dirigida a organizaciones de defensa, gobierno, energía e infraestructuras críticas de todo el mundo en diciembre de 2018 y que aún continúa.

Principalmente, la técnica empleada eran los correos electrónicos de spearphishing, un método poco común y poco avanzado, que simula procesos de trabajo de forma muy convincente para obtener acceso a los sistemas.

Grant Bourzikas, Chief Information Security Officer en McAfee, ofrece su opinión de experto sobre cómo las empresas pueden protegerse ante este tipo de ataques: “Seguimos viendo a los cibercriminales utilizar spearphishing y otras técnicas de ingeniería social para infiltrarse entre sus objetivos con alto grado de éxito. Como CISO considero que es imprescindible que las organizaciones tomen nota de estos métodos y adopten una estrategia dual con soluciones de protección de correo electrónico avanzadas y formación a los empleados para defenderse de ataques cada vez más sofisticados y proteger su infraestructura interna”.

Principales conclusiones:

El proceso de atribución

En cualquier investigación de ciberseguridad el proceso de atribución es crítico para entender las campañas de ataque y sus implicaciones. Sin embargo, a veces no hay suficientes evidencias para identificar quien está detrás de un ataque. Una atribución errónea puede tener también importantes consecuencias, por lo que este proceso no debe tomarse a la ligera.

Hasta ahora el equipo de investigación de amenazas de McAfee (Advanced Threat Research) no contaba con suficientes evidencias técnicas para atribuir estos ataques a Lazarus. Ahora, sin embargo, gracias al acceso que ha tenido McAfee a los datos en los servidores de control incautados que usaban los adversarios, ya no cabe ninguna duda.

Los datos de comando y control fueron proporcionados a McAfee para su análisis por parte de una entidad gubernamental que está familiarizada con la investigación publicada por McAfee sobre esta campaña de malware.

Nuevos objetivos

Las conexiones entre Lazarus y la Operación Sharpshooter se consolidan con evidencia técnica a medida que esta campaña global continúa afectando a sectores clave.

Cuando McAfee descubrió la Operación Sharpshooter en diciembre de 2018, existían posibles vínculos con el grupo Lazarus, pero no suficientes conexiones técnicas para atribuir la campaña con confianza. La nueva evidencia ahora muestra indicadores técnicos y procedimientos que se solapan entre los dos.

La Operación Sharpshooter parece que comenzó en septiembre de 2017, lo que extiende la campaña aproximadamente un año más de lo que la evidencia previa sugería. La presunta campaña de reconocimiento de datos también se ha orientado hacia nuevos objetivos, que ahora se centran en las finanzas, el gobierno y las infraestructuras críticas en todo el mundo, principalmente en Alemania, Turquía, Reino Unido y Estados Unidos

Los actores, principalmente, aprovecharon los correos electrónicos de spearphishing, simulando procesos de trabajo de forma muy convincente, para obtener acceso a los sistemas. Se trata de una técnica ordinaria y no avanzada que tuvo un gran éxito al permitir a Lazarus infiltrarse en las principales organizaciones en industrias como el gobierno y las finanzas.

Conexiones con África

El análisis del código del servidor de comando y control y los registros de archivos descubrieron un bloque de red de direcciones IP originadas en la ciudad de Windhoek en Namibia, África, lo que lleva a McAfee a creer que Lazarus está probando implantes en la región antes de realizar ataques más amplios .

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Expertos de diferentes ámbitos debaten en 12ENISE cómo avanzar en ciberseguridad
Actualidad
35 compartido1,738 visualizaciones
Actualidad
35 compartido1,738 visualizaciones

Expertos de diferentes ámbitos debaten en 12ENISE cómo avanzar en ciberseguridad

Vicente Ramírez - 26 octubre, 2018

Los ponentes han hablado de la estrategia a nivel nacional, la colaboración internacional y de la necesidad de una legislación…

Colt suministra los Colt Encryption Services a la Berlinale 2019
Soluciones Seguridad
19 compartido2,411 visualizaciones
Soluciones Seguridad
19 compartido2,411 visualizaciones

Colt suministra los Colt Encryption Services a la Berlinale 2019

Samuel Rodríguez - 20 febrero, 2019

Esta nueva solución ofrece una conectividad segura al encriptar todo el tráfico del festival. La red de Colt permite la distribución…

Los jóvenes son las víctimas perfectas para los ciberdelincuentes
Cases Studies
18 compartido2,291 visualizaciones
Cases Studies
18 compartido2,291 visualizaciones

Los jóvenes son las víctimas perfectas para los ciberdelincuentes

Samuel Rodríguez - 26 noviembre, 2018

La ciberseguridad es algo que le importa poco a los más jóvenes. No nos referimos a que les interese o…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.